Betreibungen und Handynummern
Sensible Daten von Schuldnern waren bei Intrum offen zugänglich

Eine Sicherheitslücke beim Inkassobüro Intrum legte mit wenigen Klicks das Verzeichnis ihrer Schuldner offen. Betroffen waren die persönlichen Daten von möglicherweise Zehntausenden Personen.
Publiziert: 01.09.2023 um 14:49 Uhr
|
Aktualisiert: 31.01.2024 um 10:04 Uhr
1/5
Höhe der Schulden, Betreibungen, Namen und Handynummern.
Miriam Weber
Beobachter

Intrum gilt als die grösste Inkassofirma der Schweiz. Ihr Geschäft ist es, Schulden einzutreiben. Die Daten, die sich bei Intrum sammeln, sind entsprechend sensibel. Wegen einer Sicherheitslücke konnte sich nun aber jede und jeder durch private Schuldenverzeichnisse klicken. Zu sehen waren nicht nur die Namen der Schuldner, sondern sämtliche Betreibungen, Rechnungen oder Kontodaten. Denn betroffen vom Leck war ausgerechnet das Kundenportal, auf dem betriebene Personen ihre offenen Forderungen sehen und begleichen können.

Wie viele Profile einsehbar waren, gibt Intrum nicht preis. Der «Beobachter» geht aufgrund seiner Recherche aber von etlichen Betroffenen aus, möglicherweise Zehntausenden. Die Sicherheitslücke bestand bis zum 28. August und wurde, als der «Beobachter» Intrum darauf aufmerksam machte, geschlossen. Wie lange das Verzeichnis offen war, ist laut Intrum noch nicht klar.

Artikel aus dem «Beobachter»

Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.

Probieren Sie die Mobile-App aus!

Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.

Probieren Sie die Mobile-App aus!

Login ohne Passwort

Üblicherweise können Schuldner auf ihre Profile bei Intrum nur zugreifen, wenn sie ihr Passwort und ihren Nutzernamen in Form eines verschlüsselten Zahlencodes eingeben. Während des Sicherheitslecks reichte es jedoch, beim Benutzernamen eine beliebige Nummer einzutippen. Das Feld des Passworts konnte man freilassen und auf «Anmelden» klicken. War die Nummer einem Schuldner zugeordnet, konnte man das persönliche Profil der Person anschauen.

Diese Übersicht aller Fälle konnte ohne Passwort eingesehen werden.
Foto: Beobachter

Der «Beobachter» hat es mit mehreren siebenstelligen Nummern ausprobiert und erhielt innert kürzester Zeit Einblick in die hochsensiblen Daten von mehreren Personen. Glück brauchte es dafür nicht. Und viel Geduld ebenfalls nicht.

Auf den Profilen präsentierte sich zuoberst auf der Seite die Höhe aller Schulden. Weiter unten waren sämtliche Betreibungen im Detail aufgelistet. So konnte man auch die Rechnungen und Kontodaten der Gläubiger anschauen. Doch damit nicht genug: Selbst Name, Adresse und Handynummer der Betriebenen lagen offen. Mit einem Klick liessen sich diese privaten Daten sogar ändern. Man konnte einer betroffenen Person beispielsweise ganz einfach eine neue E-Mail-Adresse einrichten.

Screenshot eines privaten Kundenprofils, das mit wenigen Klicks angepasst werden konnte.
Foto: Beobachter

Schuld war ein Software-Update

Kurz nachdem der «Beobachter» Intrum auf die Datenlücke hingewiesen hatte, schloss die Firma das Kundenportal. Das passierte am 28. August. Jaël Fuchs, Kommunikationsverantwortliche von Intrum, schreibt: «Die Sicherheitslücke war bis zu diesem Zeitpunkt nicht bekannt.»

Das Problem, so erklärt Intrum auf Anfrage, sei auf die Einführung einer neuen Code-Version zurückzuführen. Ein Software-Update wurde auf das System gespielt und verursachte die Sicherheitslücke. Wie Intrum schreibt, könne eine böswillige Verursachung von Dritten ausgeschlossen werden.

Die Plattform wurde in der Nacht auf den 29. August über mehrere Stunden vom Netz genommen, um das Problem zu beheben. Mittlerweile ist das Kundenportal wieder online, und das Problem scheint gelöst: Man muss wieder ein Passwort eingeben, um auf die Schuldner-Profile zuzugreifen.

Die strafrechtlichen Folgen

Welche Konsequenzen dieses gravierende Datenleck für Intrum nach sich ziehen wird, ist noch nicht klar. Zum konkreten Fall äussert sich der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nicht.

Er schreibt auf Anfrage lediglich: «Wer im Besitz von Daten von privaten Personen ist, ist dafür verantwortlich, diese mit der nötigen Sorgfalt zu bearbeiten.» Und er muss für die Sicherheit der Daten sorgen und diese vor unberechtigten Zugriffen und Verlust schützen.

Gemäss neuem Datenschutzgesetz muss der EDÖB jedoch eine Untersuchung eröffnen, wenn ein bedeutender Verstoss gegen das Datenschutzgesetz vorliegt. Wer glaubt, vom Datenleck betroffen zu sein, kann sich über diese Website beim EDÖB melden.

Fehler gefunden? Jetzt melden
Was sagst du dazu?
Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.